本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# DNS Firewall VPC 配置
<a name="resolver-dns-firewall-vpc-configuration"></a>

您的 VPC 的 DNS 防火墙配置决定了 Route 53 VPC 解析器是否允许查询或在出现故障时阻止查询，例如，当 DNS 防火墙受损、无响应或在区域中不可用时。只要您有一个或多个 DNS 防火墙规则组与 VPC 关联，VPC 解析器就会强制执行 VPC 的防火墙配置。

您可以将 VPC 配置为失效打开或失效关闭。
+ 默认情况下，故障模式处于关闭状态，这意味着 VPC Resolver 会阻止任何未收到来自 DNS 防火墙的回复的查询，并发送 D ` SERVFAIL` NS 响应。这种方法有利于提升安全性，但会降低可用性。
+ 如果您启用失效打开，VPC 解析器将在未收到 DNS 防火墙的回复时允许通过查询。这种方法有利于提升可用性，但会降低安全性。

**要更改 VPC（控制台）的 DNS Firewall 配置**

1. 登录 AWS 管理控制台 并打开 VPC 解析器控制台，网址为[https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)。

1. 在导航窗格的 “**解析器**” 下，选择**VPCs**。

1. 在**VPCs**页面中，找到并编辑 VPC。根据需要将 DNS Firewall 配置更改为失败打开或失败关闭。

**要更改 VPC (API) 的 DNS Firewall 行为**
+ 通过调用[UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)、启用或禁用来更新 VPC 防火墙配置` FirewallFailOpen`。

您可以通过调用，通过 API 检索您的 VPC 防火墙配置列表[ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html)。